Ivanti Neurons for MDMとSCEPサーバー間のKerberos認証の有効化

Ivanti Neurons for MDMとSCEPの間の通信にKerberos認証を使用できます。 以下のセクションでは、SCEPサーバーとIvanti Neurons for MDMでKerberos認証を有効にする方法を説明します。

この機能は、Ivanti Neurons for MDMコネクタ93バージョンが利用可能な場合に動作します。

構成前の手順

  1. SCEPサーバー上のSCEPサービス用に、どのサービスアカウントが使用されているかを確認します。

  2. SCEPサーバー上で、そのサービスアカウントがローカルIIS_USRSグループのメンバーであることを確認します。

  3. プロビジョニングされているCAサーバー証明書テンプレート上で、そのサービスアカウントに登録権限があることを確認します。

Windowsサーバーの構成

  1. ドメインコントローラーで次のコマンドを実行します。

    setspn -s http/<SCEP-SERVER-FQDN> <domain>\<service account>

  2. [Active Directory ユーザとコンピュータ] で、サービスアカウントの [委譲] タブをクリックします。

    1. [指定したサービスへの委任用にのみ、このユーザを信頼する] で、 [Kerberosのみを使用] を選択します。
    2. [追加] をクリックして、SCEPサーバー名を追加します。
    3. HTTPサービスを選択します。
    4. [OK] をクリックします。

  3. Kerberosチケットの暗号化にアプリケーションプールの認証情報が使用されるようにするため、IISサーバーで次の手順を行います。

    1. 前の手順で検証したサービスアカウントの下でSCEPアプリケーションプールが実行されていることを確認します。
    2. useAppPoolCredentialsを有効にするには、Microsoft SCEP管理者(mscep_admin)またはMicrosoft SCEP(mscep)のWebページで、[構成エディター] > [System.webServer] > [セキュリティ] > [認証] > [Windows認証] を選択し、値をuseAppPoolCredentials=Trueに設定します。

  4. Microsoft SCEP管理者Webページ(mscep_admin)で、[n認証] > [匿名認証] を選択し、[無効] をクリックすることにより、[匿名認証] を無効にします。

  5. Windows認証の詳細設定で、カーネルモード認証を無効にします。

    認証サービスの第1オプションとして [ネゴシエート] が使用されるようにします。

  6. Windows認証の詳細設定Webページで、カーネルモード認証を無効にします。

  7. IISサービスを再起動します。

Kerberosの構成

このセクションでは、Ivanti Neurons for MDMサーバーでKerberosを構成する方法を説明します。

Ivanti Neurons for MDMでのKerberos設定の構成

[管理] > [管理] > [Kerberos] に移動し、以下の設定を、表に示されているとおりに入力します。

UIセクション

選択肢

Active DirectoryのKerberos領域 IVANTI.COM
対応するキー配布センター(KDC)サーバー kdc.ivanti.com
サービスユーザの認証情報

user@realm

例:[email protected]

Microsoft AD証明書サービスとの発呼側通信用のドメイン(ホスト名は、大文字と小文字の区別はなく、.ivanti.comまたは.IVANTI.COMで終わる必要があります)

SCEPサーバーまたはNDESサーバー:ndes.ivanti.comやscep.ivanti.comなどのホスト名を使用することもできます。

既存の認証機関上にあるMicrosoft SCEP証明書登録構成におけるKerberos認証の有効化

次の手順を実行して、既存の認証機関上でのKerberos認証を有効にします。

  1. Ivanti Neurons for MDMで、[管理] > [インフラストラクチャ] > [証明書管理] を選択します。

  2. [外部] オプションを使用して認証機関のタイプを選択します。

    これらの外部認証機関のタイプには、Microsoftと示されているはずです。

  3. [アクション] ドロップダウンから [編集] を選択します。

  4. [外部CAを編集] ウィンドウで、[Kerberos認証を優先させる] チェックボックスを選択してKerberos 認証を有効にします。

新しい認証機関のMicrosoft SCEP証明書登録構成におけるKerberos認証の有効化

次の手順を実行して、新しい認証機関のKerberos認証を有効にします。

  1. Ivanti Neurons for MDMで、[管理] > [インフラストラクチャ] > [証明書管理] を選択します。

  2. [+追加] オプションを選択します。

  3. [認証機関を追加] ウィンドウで、[オンプレミスのSCEP認証機関を連携する] オプションを選択します。

  4. [続行] をクリックします。

  5. [外部認証機関を追加] ウィンドウで、次の手順を実行します。

    1. [認証機関のタイプ] ドロップダウンから [Microsoft] オプションを選択します。
    2. [Kerberos認証を優先させる] チェックボックスを選択してKerberos 認証を有効にします。
    3. すべての必須フィールドに入力します。
    4. [完了] をクリックします。